Tujuan rule dasar: router tidak gampang di-scan/bruteforce dan trafik LAN tetap aman.
1) Amankan service management
- Matikan service yang tidak dipakai (telnet, ftp, api).
- Batasi Winbox/SSH hanya dari IP trusted.
2) Firewall INPUT (router itu sendiri) Konsep rule urutan umum:
- accept established,related
- drop invalid
- accept icmp (secukupnya)
- accept management dari trusted IP
- drop sisanya
Contoh (gaya RouterOS, sesuaikan interface/address-list): /ip firewall filter add chain=input action=accept connection-state=established,related add chain=input action=drop connection-state=invalid add chain=input action=accept protocol=icmp add chain=input action=accept src-address-list=trusted protocol=tcp dst-port=22,8291 add chain=input action=drop in-interface-list=WAN
3) NAT internet sharing /ip firewall nat add chain=srcnat action=masquerade out-interface-list=WAN
4) Bruteforce protection (konsep)
- Tambahkan address-list untuk IP yang mencoba login berulang, lalu drop.
Kalau kamu kasih topologi (PPPoE/DHCP, jumlah ISP, subnet LAN), saya bisa buatkan rule set yang lebih presisi (termasuk forward chain untuk LAN).